解读2020版《个人信息安全规范》修订内容

2020-05-29 来源: 全国信息安全标准化技术委员会网站

    近日,国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《规范》”)完成修订,将于2020年10月1日正式实施。此次《规范》修订工作历时近一年时间,突出问题导向,不仅着力解决《规范》实施以来出现的个人信息安全新问题,同时也对部分原有内容进行完善,提升个人信息安全顽疾的治理效果。

    一、 破题捆绑授权,解决网民关切问题

    伴随移动互联网的迅猛发展,我国几乎全民手机上网,广大网民在享受移动互联网应用程序(App)带来便利的同时,也饱受App个人信息收集、使用乱象的困扰,通过功能捆绑等手段变相强迫用户授权,便是典型问题之一。当下,App不再局限于提供单一业务功能,用户量大的App更倾向于在原有App基础上新增业务功能,但用户可能仅使用部分业务功能,实践中便出现了App通过“一揽子协议”等方式,要求用户同意App所有业务功能收集个人信息的请求,否则便不提供产品或服务的问题。此类“全有或全无”式“绑架”用户,极大地限制了用户自主选择,为广大网民所诟病。

    新版《规范》结合当下产业实践发展,在个人信息收集部分增加了“5.3 多项业务功能的自主选择”的要求,在多项业务功能需收集用户个人信息的场景下,强调以业务功能作为基本单位,通过规范初始征得用户授权同意、用户关闭或退出特定业务功能等内容,强化保障用户的自主选择,以此破题捆绑授权。

    在征得用户授权同意环节,5.3a)、b)分别明确征得用户同意、判断用户自主意愿的标准:5.3a)明确在征得用户同意时,不可采用“一揽子授权”方式,产品或服务提供者不得捆绑业务功能,要求用户一次性接受并授权同意未申请或使用的业务功能收集个人信息的请求;5.3b)则明确以用户自主作出的肯定性动作作为特定业务功能开启的条件,从而表明默认勾选等方式的不可取之处。

    在落实用户关闭或退出特定业务功能时的自主选择方面,5.3c)、d)、e)分别围绕着用户关闭或退出特定业务功能的方式是否足够简便、用户关闭或退出特定业务功能后再次征求授权同意、用户关闭或退出特定业务功能后不得影响其他业务功能的提供等方面提出具体要求。此外,《规范》在附录C中也通过基本与扩展业务功能的区分、对基本业务功能和扩展业务功能不同的告知与明示同意要求、交互式功能界面设计等方面提出了实现用户自主意愿的具体方法,为企业合规提供参考。

    二、完善知情同意模式,回应合理实践诉求

    《网络安全法》第四十一条要求“收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,确立我国个人信息保护收集、使用遵循“知情同意模式”。一方面,《网络安全法》未对实现知情同意模式的具体方式和要求作出规定;另一方面,严苛和绝对的知情同意模式也难以适应丰富的产业发展实践。因此,《规范》在制定之初,参考欧盟《通用数据保护条例》等国际立法,通过区分用户同意的不同类型、明确知情同意的例外情形等,合理化落地《网络安全法》中有关“知情同意模式”的要求。

    新版《规范》继续聚焦产业发展实践的合理诉求,新增两种“根据个人信息主体要求签订和履行合同所必需的”、“与个人信息控制者履行法律法规规定的义务相关的”两种征得授权同意的例外情形。一方面,个人信息控制者与信息主体存在合同关系并明确约定相关事项时,存在为订立或履